Sven Hartge wrote:
Bjoern Schmidt <bj-schmidt@uni-paderborn.de> wrote:
Automatische Übername von Gruppen in die lokalen Gruppen ist unter Windows _nicht_ vorgesehen und man sollte auch um Gottes Willen keine Gruppen in der Domäne anlegen, die genauso heissen, wie lokale Gruppen unter Windows.
Wie kommst Du darauf? Das ist falsch.1. gibt es eine definierte Anzahl von Gruppen in jeder Windows-Dömäne mit jeweils vordefinierten Rechten. Wenn es diese Gruppen gibt, ist es _nicht_ notwendig, die auf jedem Windows-Client manuell zu übernehmen. Mit Samba 3.x gibt es die Möglichkeit, diese Gruppen mit "net groupmap ..." anzulegen (sollte eigentlich automatisch passieren, bei Verwendung mit LDAP ist das aber nicht der Fall). Die Windows-Clients erkennen anhand der RID, ob es sich um eine dieser vordefinierten Gruppen handelt und setzt die Rechte entsprechend.
Beispiele: Domain Admins (S-1-5-21-...-512) -> Domain Admins Domain Users (S-1-5-21-...-513) -> Domain Users Administrators (S-1-5-21-...-544) -> Administrators Users (S-1-5-21-...-545) -> Users Guests (S-1-5-21-...-546) -> Guests Power Users (S-1-5-21-...-547) -> Power UsersDie jeweils letzte Nummer in den Klammern (512 bei den Domain Admins) ist die RID.
2. Auch das Mischen von lokalen Gruppen und Domänengruppen mit gleichem Namen ist i.d.R. _kein_ Problem, da sich die SID der Domäne von der des lokalen Windows unterscheidet. Das funktioniert genauso wie mit lokalem "Administrator" vs. "Administrator" in der Domäne.
cu, Uwe